中国间谍芯片迷雾

10月4日,彭博社曝出意外消息,称中国特工在亚马逊、苹果、美国政府和其他潜在目标使用的超微( Super Micro )服务器中成功植入了间谍芯片,令中国政府可窥探高度敏感数据。

该爆料酝酿了1年之久,所曝之事据称发生在3年前。报道一出,市场震动:报道中涉及的超微公司当天股价暴跌近50%;苹果股价跌幅近2%;亚马逊股价跌幅超2%。

但报道涉及的3家公司:苹果、亚马逊和超微,均坚决否认此事。3家公司都发表了毫不含糊的严正声明,否认存在此类芯片,并宣称从未接到过美国情报机构对此类监视芯片的任何调查。

这些声明都经过了律师团的层层把关,确保不会让几家公开上市公司惹上诉讼和证券欺诈指控。同样的,彭博社也雇有老道的记者和各级编辑,反复检查精炼文章,对词不达意零容忍。

于是,真相到底是什么:是中国政府成功渗透了硬件供应链,往高度敏感的美国计算机里植入了间谍芯片;还是彭博社记者的断言太过极端?

报道

首先,我们来看看这篇独家报道的关键细节。报道称,这些做成信号调节耦合器样式的微小芯片被中国分包商植入了超微数据中心服务器主板。

据报道所言,这些间谍芯片并没出现在原始主板设计图纸上,是工厂老板在威逼利诱之下修改蓝图,秘密添加进去的。据称该监视芯片含有足够的内存和处理能力,可被作为主机系统的有效后门,供外部人员操控服务器和渗漏信息。

彭博社文章没有透露太多技术细节,目前只能大致推测该黑客行径具体是如何执行的。就目前所知,该芯片看起来像是主板上无害的连接器管脚,仅够给串口供电那种。其中一个版本的芯片还是夹在印制电路板(PCB)多层玻璃纤维之间的。

该间谍芯片可被置于底板管理控制器(BMC)及其串口(SPI)闪存或包含BMC固件的串行电子可擦可编程序只读存贮器(EEPROM)之间。当BMC从该存储空间获取代码并执行时,间谍芯片便可监听信号并修改信号比特流,将恶意代码注入BMC处理器,令其主人能够控制该BMC。

BMC是服务器主板上的关键组件,可供管理员通过网络远程监视和修复主机,不用费劲跑到数据中心从机架中拖出服务器开箱修好再推回去。BMC及其固件可用来重启服务器,重装或重置主机操作系统,挂载含有恶意代码和数据的辅助存储器,访问连接到该主机的虚拟键盘和终端等等。只要能触及BMC及其软件,就能完全控制服务器。

掌控BMC之后,黑客便可修改该控制器的固件或主机操作系统及软件,登录该服务器,源源不断地渗漏出数据。

彭博社那帮计算机外行记者们对该间谍芯片工作机制的解释是这样的:“该组件在数据流经主板时操控指示服务器动作的核心操作指令。这一切发生在操作系统的指令流路过主板暂存器,前往服务器CPU的关键时刻。

这里有几点需要说明一下:

  • 第一,被黑主机流出的网络流量是有可能被检测到的。
  • 第二,实时修改BMC固件以侵入主机系统不是小事,但也并非不可能做到,推特上都有人放出了各种方法(https://twitter.com/securelyfitz/status/1047981698783305728)。

10月4日上午仓促组织的一场网络会议上,信息安全专家兼退役美国军人 Jake Williams 称:“这在技术上是可行的。如果是我来做,也就是这么干了。”

BMC是放置间谍芯片的好地方。因为该控制器可以访问服务器的主内存,也就方便将后门代码注入到主机操作系统内核中,然后下载第二阶段的间谍软件并执行之,根本不会触发任何防火墙规则。

  • 第三点:如果真有这么一枚芯片,那植入该芯片的背后主使必然投入了大量人力物力来执行这场监视行动。

这种东西应该不会出现在大量发售给老牌科技公司的超微服务器中,它应该是高度针对性的,尽力避免被人发现。即便彭博社的报道真实无误,普通用户能买到的超微公司设备中不太可能植入这种间谍芯片。

  • 第四点:既然都可以通过威逼利诱在制造过程中篡改注定烧铸到主板上的芯片,又何必多此一举地偷渡进一枚额外的芯片呢?直接把合法的串口闪存芯片替换成植入了后门的不就行了?难道说伪装成信号耦合器是最好的途径?
  • 第五点:据说该芯片小到可以放到铅笔尖上,且可以实时监听并重写串口闪存或串行EEPROM流出的数据。然而,这枚芯片需要承载足够替换BCM固件代码的数据,还要能修改运行中的操作系统或实现可用的后门。那要么彭博社文章中放出的芯片图只是个不准确的示意图,要么实际的芯片比这个大,或者运用了什么超尖端的自定义半导体制造工艺。

该植入芯片监听串口闪存/串行EEPROM读取内容并实时重写的功能并非不可能。但那就需要含有足够的数据以修改BMC固件,以及后续的主机操作系统篡改和有效后门设置。于是,它用了什么印制电路板技术才可以做到这么小?7纳米?

彭博社宣称该芯片最早在2015年对超微服务器的一次第三方安全审计中被发现,当时超微正考虑并购使用其服务器进行超快视频处理的 Elemental Technologies 公司。

大问题

据彭博社的消息,亚马逊将自身的发现报告给了美国官方,该发现震惊整个情报界——因为“美国国防部(DoD)数据中心、中央情报局(CIA)无人机行动和美国海军战舰舰载网络中都有类似主板的身影。”

同时,彭博社还透露,苹果在“检测到异常网络行为和固件问题后”,也发现了该微小芯片。苹果联系了FBI并提交了这枚硬件。美国情报机构于是追溯该硬件组件的供应链,动用各间谍计划筛选监听到的通信内容,最终锁定了中国的4家分包工厂。

据彭博社所言,美国情报机构随后发现了该“播种”过程的运作方式:“自称超微公司代表或与政府有关系的人接近分包商经理,先以贿赂的方式要求修改主板原始设计。如果贿赂不成,再以将用审查令其停工的方式威逼经理就范。一旦安排到位,这些中间人便开始着手将问题芯片交付给工厂。”

这一解释表面上看似乎说得通:符合世人所知的美国情报机构调查方法,美国人好像强大无比的各种监听计划,以及中国政府与私营企业间一贯的互动方式。

彭博社还通过指向苹果和亚马逊的后续反应,提供了各种形式的间接证据以佐证自己的报道。比如苹果在几周内就决定完全放弃将超微作为供应商的决策——尽管之前曾计划在成千上万的主板中使用超微产品。亚马逊则是将其北京数据中心以3亿美元的价格卖给了当地的合作商北京光环新网科技股份有限公司。

上一篇:中国如何利用微型芯片渗透美国公司

下一篇:为什么软件定义边界比VPN更适用于安全远程访问